Die Überprüfung von Bedrohungsschutz und erweitertem Bedrohungsschutz wird umgangen, wenn benutzerdefinierte App-IDs für unbekannten Datenverkehr konfiguriert sind

• Die benutzerdefinierte App-ID ist so konfiguriert, dass unbekannter Datenverkehr identifiziert wird (unknown-req-tcp-payload, unknown-rsp-tcp-payload, unknown-req-udp-payload, unknown-rsp-udp-payload)
• UND
• Die Einstellung "Suche nach anderen Anwendungen fortsetzen" ist in der benutzerdefinierten App-ID aktiviert, ODER das Profil "Schutz vor Sicherheitslücken" ist an die Sicherheitsrichtlinie angehängt, um Datenverkehr zuzulassen, der mit diesen benutzerdefinierten App-IDs identifiziert wurde.

• Palo Alto Firewalls.
• PAN-OS 9.1 und höher.
• Benutzerdefinierte App-ID
• Schwachstellen Schutz

Woher weiß ich, ob ich betroffen bin?

• Schritt 1: Gehen Sie zu Panorama oder FW UI und suchen Sie nach benutzerdefinierten App-IDs mit unbekanntem Datenverkehr (GUI: Objekte > Anwendungen > Dropdown-Schaltfläche verwenden, um "Benutzerdefinierte Anwendungen" auszuwählen.

• Klicken Sie auf die Anwendung, um nach "Kontext" zu suchen. Das folgende Beispiel zeigt eine benutzerdefinierte Anwendung, die mit dem Nutzlastkontext unknown-udp für die definierte Signatur konfiguriert ist.  

• Schritt 2: Überprüfen Sie, ob die Einstellung "Suche nach anderen Anwendungen fortsetzen" aktiviert ist.
  
  
  Schritt 3: Überprüfen Sie, ob das Schwachstellenprofil an die Sicherheitsrichtlinienregel angefügt ist, die eine benutzerdefinierte App-ID
  
  
  
  zulässt. Wenn Schritt 1 WAHR ist und entweder Schritt 2 oder Schritt 3 WAHR ist, ist die Firewall von der Korrektur betroffen. Lesen Sie weiter, um zu erfahren, wie Sie sich auf die Korrektur vorbereiten können.

Wie bereite ich mich auf den Fix vor?

Überprüfen Sie alle benutzerdefinierten App-IDs, um festzustellen, ob sie die oben genannten Bedingungen erfüllen. Verwenden Sie eine der folgenden Optionen, um sich vorzubereiten.

• Option 1 (empfohlen): Testen des Datenverkehrs mit benutzerdefinierter App-ID im Lab:
  1. Erfassen Sie Datenverkehr, der mit dieser benutzerdefinierten App-ID identifiziert wird, die hier beschrieben wird.
  2. Wiederholen Sie das pcap in einer Laborumgebung auf einer FW ohne die benutzerdefinierte App-ID.
  3. Wenn der Datenverkehr als unknown-tcp oder unknown-udp identifiziert wird, sollte dies keine Auswirkungen haben (nach der Installation des Inhaltsupdates wird dieser Datenverkehr weiterhin mit Ihrer benutzerdefinierten App-ID identifiziert).
  4. Wenn der Datenverkehr mit einer anderen App-ID identifiziert wird, fügen Sie diese neue App-ID der Sicherheitsrichtlinienregel hinzu, um diesen Datenverkehr zuzulassen.
• Möglichkeit 2: Verwenden von Anwendungsfiltern
• Diese Option eignet sich gut für Kunden, die ihren benutzerdefinierten App-ID-Datenverkehr sicher verstehen, z. B. die Kategorie und Unterkategorie, in die er passt. 
  1. Erstellen Sie einen Anwendungsfilter für die Kategorie und Unterkategorie von Anwendungen, in die die benutzerdefinierte App-ID passt. Wenn sich der benutzerdefinierte App-ID-Datenverkehr beispielsweise auf OT/ICS-Protokolle bezieht, verwenden Sie den App-ID-Filter, der alle App-IDs aus der Unterkategorie "ics-protocols" auswählt.
  2. Hängen Sie als Nächstes diesen Filter mit der Aktion "Zulassen" an die Sicherheitsrichtlinienregel an und platzieren Sie ihn am Ende Ihres Richtlinienregelsatzes.
  3. Aktualisieren Sie die Anwendungen und Bedrohungen (Inhalt).
  4. Überprüfen Sie einige Tage nach der Installation des Inhaltsupdates die Regelverwendungsstatistiken im Richtlinienoptimierer. Wenn der Datenverkehr mit einer anderen App-ID identifiziert wird, fügen Sie diese neue App-ID der Sicherheitsrichtlinienregel hinzu, um diesen Datenverkehr zuzulassen.
  5. Entfernen Sie den Anwendungsfilter, wenn Sie fertig sind.

Bitte stellen Sie sicher, dass Sie den Fix vor dem für den 17. Oktober 2023 geplanten Update für Anwendungen und Bedrohungen (Inhalt) anwenden